Pマーク取得でIT部門がやるべきこと｜技術的安全管理措置の対応ガイド

Pマーク取得におけるIT部門の役割

Pマーク取得には「技術的安全管理措置」が必須です。アクセス制御（個人情報へのアクセスを最小限に限定）、アクセス者の識別と認証（MFA導入が事実上必須、共有アカウントはNG）、外部からの不正アクセス防止（UTM、EDR、パッチ適用）、漏洩防止（メール誤送信対策、USB制限、DLPポリシー）、監査ログの取得（M365監査ログの有効化）が求められます。

審査で指摘されやすいポイント

パスワードポリシーが甘い、MFA未導入、退職者アカウントの残存、個人情報ファイルの権限が広すぎる、バックアップ復旧テスト未実施が頻出です。

M365の標準機能で多くをカバーできます。情シス365ではPマーク対応を含むセキュリティ運用を代行しています。